19. dubna 2026 – KB5091157 (build operačního systému 26100.32698) mimo pásmo
Platí pro
Datum vydání:
19.04.2026
Verze:
Build operačního systému 26100.32698
Tato out-of-band (OOB) aktualizace pro Windows Server 2025 (KB5091157) je kumulativní aktualizace netýkající se zabezpečení.
Vylepšení
Tato mimopásmová aktualizace obsahuje vylepšení kvality z KB5082063 (vydané 14. dubna 2026). Následující souhrn popisuje klíčové problémy, které řeší tato aktualizace mimo pásmo. Tučný text v hranatých závorkách označuje položku nebo oblast změny.
-
[Active Directory] Opraveno: Po instalaci aktualizace zabezpečení Windows z dubna 2026 a restartování může u řadičů domény (DC) s doménovými strukturami s více doménami, které používají Privileged Access Management (PAM), docházet k problémům se spouštěním. V některých případech může služba LSASS (Local Security Authority Subsystem Service) přestat reagovat, což vede k opakovaným restartům a znemožnění ověřování a adresářových služeb, což může vést k nedostupnosti domény.
-
[Instalace služby Windows Update] Opraveno: Malému počtu zařízení Windows Server 2025 se nemusí podařit nainstalovat aktualizaci zabezpečení Windows (KB5082063) ze 14. dubna 2026. Když dojde k tomuto problému, postižená zařízení mohou zobrazit jednu z následujících chybových zpráv: "Chyba instalace: 0x800F0983" nebo "Některé soubory aktualizace chybí nebo dochází k problémům. Později se pokusíme aktualizaci znovu stáhnout. Kód chyby: 0x80073712."
Pokud máte nainstalované dřívější aktualizace, vaše zařízení stáhne a nainstaluje jenom nové aktualizace obsažené v tomto balíčku.
Aktualizace obslužného zásobníku systému Windows Sever 2025 (KB5082062) –26100.32692
Tato aktualizace obsahuje vylepšení kvality pro servisní balík Servicing Stack, což je součást, která instaluje aktualizace systému Windows. Servisní aktualizace SSU (Servicing Stack Updates) zajišťují, že máte robustní a spolehlivý servisní balík Servicing Stack, aby vaše zařízení mohla přijímat a instalovat aktualizace od Microsoftu. Další informace o aktualizacích SSU najdete v tématu Zjednodušení místního nasazení servisních aktualizací SSU.
Známé problémy v této aktualizaci
Příznak
Na některých zařízeních s nedoporučenou konfigurací zásad skupiny pro BitLocker může být při prvním restartování po instalaci této aktualizace potřeba zadat obnovovací klíč BitLockeru.
Tento problém se týká jenom omezeného počtu systémů, ve kterých platí VŠECHNY následující podmínky. Tyto podmínky se pravděpodobně nevyskytnou na osobních zařízeních, která nespravují IT oddělení.
-
Na jednotce operačního systému je povolený BitLocker.
-
Zásada skupiny „Konfigurovat profil ověřování platformy TPM pro nativní konfigurace firmwaru UEFI“ je nakonfigurovaná a profil ověřování zahrnuje PCR7 (nebo je ručně nastavený ekvivalentní klíč registru).
-
Systémové informace (msinfo32.exe) u položky Vazba PCR7 ve stavu zabezpečeného spouštění hlásí hodnotu „Není možné“.
-
V databázi podpisů zabezpečeného spouštění (DB) zařízení je certifikát Windows UEFI CA 2023, takže zařízení splňuje podmínky pro nastavení Správce spouštění Windows podepsaného v roce 2023 jako výchozího.
-
Zařízení ještě nepoužívá Správce spouštění Windows podepsaný v roce 2023.
V tomto scénáři stačí obnovovací klíč BitLockeru zadat jen jednou. Další restartování nespustí obrazovku pro obnovení BitLockeru, pokud konfigurace zásad skupiny zůstane beze změny. Pomoc s nalezením obnovovacího klíče nástroje BitLocker naleznete v článku Vyhledání obnovovacího klíče nástroje BitLocker.
Podnikům doporučujeme, aby před instalací této aktualizace zkontrolovaly svoje zásady skupiny pro BitLocker kvůli explicitnímu zahrnutí PCR7 a ověřily stav vazby PCR7 v nástroji msinfo32.exe. (Viz možnost 1 níže.)
Alternativní řešení
Tento problém řeší KB5094125. Po instalaci KB5094125 se zařízením s touto nekompatibilní konfigurací zásad skupiny zabrání instalace Správce spouštění Windows podepsaného v roce 2023. Pokud se to týkalo vašeho zařízení, zobrazí se při instalaci aktualizací Windows v protokolu systémových událostí událost s ID 1032: "The Secure Boot update Boot Manager (2023) was not applied due to a known incompatibility with the current BitLocker configuration." (Správce spouštění aktualizace zabezpečeného spouštění (2023) nebyl použit kvůli známé nekompatibilitě s aktuální konfigurací nástroje BitLocker.
Pokud obdržíte událost s ID 1032, Microsoft důrazně doporučuje před instalací aktualizací odebrat konfiguraci Zásady skupiny, abyste mohli nainstalovat Správce spouštění systému Windows podepsaný v roce 2023 a dál dostávat nejnovější ochranu zabezpečeného spouštění.
Před instalací aktualizace odeberte konfiguraci Zásady skupiny (doporučeno).
-
Otevřete Editor zásad skupiny (gpedit.msc) nebo Konzolu pro správu zásad skupiny.
-
Přejděte sem: Konfigurace počítače > Šablony pro správu > Součásti systému Windows > Šifrování jednotky BitLocker > Jednotky operačního systému.
-
Nastavte „Konfigurovat profil ověřování platformy TPM pro nativní konfigurace firmwaru UEFI“ na „Nenakonfigurováno“.
-
Na ovlivněných zařízeních spusťte následující příkaz, aby se změna zásad promítla: gpupdate /force
-
Pokud chcete pozastavit BitLocker (pokud je BitLocker povolený na jednotce C:), spusťte následující příkaz: manage-bde -protectors -disable C:
-
Spuštěním následujícího příkazu obnovíte BitLocker (pokud je BitLocker povolený na jednotce C:): manage-bde -protectors -enable C:
-
Tím se aktualizují vazby nástroje BitLocker tak, aby používaly výchozí profil PCR vybraný systémem Windows.
Pokud nechcete tuto konfiguraci Zásady skupiny odebrat, můžete nainstalovat nového Správce spouštění systému Windows dočasným pozastavením nástroje BitLocker a instalací aktualizace zabezpečeného spouštění. Postupujte takto:
-
Pokud chcete pozastavit BitLocker (pokud je BitLocker povolený na jednotce C:), spusťte následující příkaz: manage-bde -protectors -disable C:
-
Spusťte následující příkaz: Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
-
Zařízení restartujte.
-
Po úspěšné instalaci nového Správce spouštění systému Windows povolte nástroj BitLocker spuštěním příkazu: manage-bde -protectors -enable C:
Služby Windows Server Update Services (WSUS) po instalaci aktualizace KB5070881 nebo novějších aktualizací nezobrazují podrobnosti o chybách synchronizace v rámci zasílání zpráv o chybách. Tato funkce je dočasně odebrána, aby se vyřešilo ohrožení zabezpečení související se vzdáleným spuštěním kódu CVE-2025-59287.
Příznaky
Po instalaci této aktualizace se upozornění zabezpečení, které se zobrazí při otevírání souborů Vzdálené plochy (RDP), nemusí v některých případech zobrazit správně.
K tomuto problému může dojít, když používáte více monitorů s různým nastavením měřítka zobrazení (například jeden monitor je nastavený na 100 % a druhý na 125 %). V takovém případě se v okně upozornění může zobrazovat překrývající se text nebo částečně skrytá tlačítka, kvůli kterým může být obtížné zprávu přečíst nebo s ní pracovat.
Alternativní řešení
Tento problém řešíKB5087539.
Jak získat tuto aktualizaci
Před instalací této aktualizace
Společnost Microsoft nyní kombinuje nejnovější servisní aktualizaci SSU pro váš operační systém s nejnovější kumulativní aktualizací LCU. Obecné informace o aktualizacích SSU najdete v článku o servisních aktualizacích SSU.
Instalace této aktualizace
K instalaci této aktualizace použijte jeden z následujících kanálů pro Windows a Microsoft.
|
Je dostupný |
Další krok: |
|
|
Podívejte se na další možnosti. |
|
Je dostupný |
Další krok: |
|
|
Podívejte se na další možnosti. |
|
Je dostupný |
Další krok: |
|||||
|
|
Chcete-li nainstalovat tuto verzi z Katalogu služby Microsoft Update, postupujte takto: Před instalací této aktualizace, samostatných balíčků pro tuto aktualizaci, přejděte na web Katalog služby Microsoft Update. Tato aktualizace KB obsahuje jeden nebo více souborů MSU, které vyžadují instalaci v určitém pořadí. Tuto aktualizaci můžete nainstalovat pomocí metody 1 (instalace všech souborů MSU společně) nebo metody 2 (instalace každého souboru MSU jednotlivě v pořadí). Metoda 1: Nainstalujte všechny soubory MSU dohromady Stáhněte všechny soubory MSU pro KB5091157 z Katalogu služby Microsoft Update a umístěte je do stejné složky (například C:/Packages). K instalaci cílové aktualizace použijte nástroj Deployment Image Servicing and Management (DISM.exe). Nástroj DISM použije složku zadanou v PackagePath ke zjištění a instalaci jednoho nebo více požadovaných souborů MSU podle potřeby. Aktualizace osobního počítače s Windows Pokud chcete tuto aktualizaci použít na osobním počítači se systémem Windows, spusťte následující příkaz z příkazového řádku se zvýšenými oprávněními:
Nebo spusťte následující příkaz z příkazového řádku Windows PowerShell se zvýšenými oprávněními:
Nebo k instalaci cílové aktualizace použijte samostatný instalační nástroj Windows Update. Aktualizace instalačního média systému Windows Pokud chcete tuto aktualizaci použít na instalační médium Windows, přečtěte si téma Aktualizace instalačního média Windows pomocí dynamické aktualizace. Poznámka: Při stahování dalších balíčků dynamických aktualizací se ujistěte, že odpovídají stejnému měsíci jako tato aktualizace KB. Pokud dynamická aktualizace SafeOS nebo dynamická aktualizace instalace není dostupná ve stejném měsíci jako tato aktualizace KB, použijte jejich poslední publikovanou verzi. Pokud chcete tuto aktualizaci přidat do připojené image, spusťte následující příkaz z příkazového řádku se zvýšenými oprávněními:
Nebo spusťte následující příkaz z příkazového řádku Windows PowerShell se zvýšenými oprávněními:
Metoda 2: Nainstalujte každý soubor MSU jednotlivě v pořadí Stáhněte a nainstalujte každý soubor MSU jednotlivě pomocí nástroje DISM nebo samostatné instalační služby Windows Update v následujícím pořadí:
|
|
Je dostupný |
Další krok: |
|
|
Podívejte se na další možnosti. |
Pokud chcete tuto aktualizaci odebrat
Upozornění: Než se rozhodnete tuto aktualizaci odebrat, přečtěte si část Principy rizik: Proč byste neměli odinstalovat aktualizace zabezpečení.
Chcete-li tuto aktualizaci odebrat po instalaci kombinovaného balíčku SSU a LCU, použijte možnost příkazového řádku DISM/Remove-Package s názvem balíčku LCU jako argumentem. Název balíčku najdete pomocí tohoto příkazu: DISM /online /get-packages.
Spuštění samostatného instalačního programu (wusa.exe) služba Windows Update s přepínačem /uninstall na sloučeném balíčku nebude fungovat, protože kombinovaný balíček obsahuje aktualizaci SSU. Po instalaci nelze servisní aktualizaci SSU odebrat ze systému.
Informace o souborech
Pokud chcete získat seznam souborů poskytovaných v rámci této aktualizace, stáhněte si informace o souborech pro kumulativní aktualizaci 5091157.
Pokud chcete získat seznam souborů poskytovaných v servisní aktualizaci SSU, stáhněte si informace o souborech pro servisní aktualizaci SSU (KB5082062) – verze 26100.32692.
Změnový protokol
|
Změnit datum |
Popis změny |
|
4 června, 2026 |
Opraven aktualizační řetězec x64 .msu na kartě Katalog pro KB5091157 (tato aktualizace) |
|
27 dubna, 2026 |
Byl opraven známý problém "Upozornění týkající se vzdálené plochy se nemusí zobrazovat správně" |
Potřebujete další pomoc?
Chcete další možnosti?
Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.
Komunity vám pomohou klást otázky a odpovídat na ně, poskytovat zpětnou vazbu a vyslechnout odborníky s bohatými znalostmi.
